Информационная безопасность телекоммуникационных систем с выходом в Интернет. Голуб В.А. - 8 стр.

UptoLike

ВУЗ: 

ВГУ | Воронеж

Составители: 

Рубрика: 

8
протокола передачи данных GTP (GPRS Tunneling Protocol), который
включает в себя любые пользовательские протоколы , например, HTTP, Telnet,
FTP и т.д . По умолчанию GTP-трафик не шифруется. Невозможность прямого
доступа к сетевому оборудованию из внешних сетей обеспечивается тем , что
опорная сеть строится на базе частных IP-адресов [2].
Безопасность в процессе взаимодействия с различными операторами
GPRS-услуг возлагается на устройства, называемые пограничными шлюзами
(border gateway, BG), которые очень похожи на обычные межсетевые экраны ,
защищающие корпоративные сети от внешних атак. В частности , этот шлюз
защищает оператора от атак, связанных с подменой адреса (IP Spoofing).
Настройка такого шлюза включает в себя создание правил, разрешающих
входящий/исходящий пользовательский трафик, данные биллинговой системы ,
аутентификацию роуминговых абонентов и т.п.
Безопасность в процессе взаимодействия с Internet обеспечивается
прежде всего на узле маршрутизации GGSN, в состав которого входит
межсетевой экран, который определяет тип входящего и исходящего GPRS-
трафика. Задача межсетевого экрана, входящего в состав узла маршрутизации
GGSN, - защитить мобильную станцию от внешних (из Internet) атак. Защита от
атак с других мобильных станций возлагается на узел обслуживания абонентов
SGSN. Для предотвращения доступа к сетевому оборудованию опорной сети от
внешних злоумышленников используется трансляция адресов (network address
translation). Все остальные механизмы защиты могут быть взяты из
классической практики обеспечения информационной безопасности Internet-
сетей и устройств [2].
Процедура подключения мобильной станции к сети GPRS может быть
описана следующим образом [2]:
1. Мобильная станция посылает запрос (Attach Request) на получение
доступа к сети , который содержит ряд параметров , включая и IMSI.
2. Узел обслуживания абонентов SGSN, получив такой запрос, проверяет
наличие аутентифицирующей данного абонента информации в своей базе. Если
такая информация отсутствует, то SGSN посылает запрос в реестр собственных
абонентов сети HLR, который возвращает так называемый
аутентификационный триплет, содержащий:
случайное число, используемое в алгоритмах A3 и A8 для выработки
ключа шифрования и аутентификации абонента;
32-хразрядный ключ аутентификации абонента, который вырабатывается
на основе индивидуального ключа, хранящегося как на мобильной
станции, так и в реестре HLR;
ключ шифрования данных, получаемый также на базе индивидуального
ключа абонента.
3. Полученное случайное число передается на мобильную станцию , которая
на его основе вырабатывает ключ шифрования и ключ аутентификации. Так как
индивидуальные ключи , хранящиеся в реестре собственных абонентов сети
HLR и на мобильной станции, совпадают, то и ключи шифрования и 
                                     8
протокола передачи данных GTP (GPRS Tunneling Protocol), который
включает в себя любые пользовательские протоколы, например, HTTP, Telnet,
FTP и т.д. По умолчанию GTP-трафик не шифруется. Невозможность прямого
доступа к сетевому оборудованию из внешних сетей обеспечивается тем, что
опорная сеть строится на базе частных IP-адресов [2].
   Безопасность в процессе взаимодействия с различными операторами
GPRS-услуг возлагается на устройства, называемые пограничными шлюзами
(border gateway, BG), которые очень похожи на обычные межсетевые экраны,
защищающие корпоративные сети от внешних атак. В частности, этот шлюз
защищает оператора от атак, связанных с подменой адреса (IP Spoofing).
Настройка такого шлюза включает в себя создание правил, разрешающих
входящий/исходящий пользовательский трафик, данные биллинговой системы,
аутентификацию роуминговых абонентов и т.п.
   Безопасность в процессе взаимодействия с Internet обеспечивается
прежде всего на узле маршрутизации GGSN, в состав которого входит
межсетевой экран, который определяет тип входящего и исходящего GPRS-
трафика. Задача межсетевого экрана, входящего в состав узла маршрутизации
GGSN, - защитить мобильную станцию от внешних (из Internet) атак. Защита от
атак с других мобильных станций возлагается на узел обслуживания абонентов
SGSN. Для предотвращения доступа к сетевому оборудованию опорной сети от
внешних злоумышленников используется трансляция адресов (network address
translation). Все остальные механизмы защиты могут быть взяты из
классической практики обеспечения информационной безопасности Internet-
сетей и устройств [2].

   Процедура подключения мобильной станции к сети GPRS может быть
описана следующим образом [2]:
1.    Мобильная станция посылает запрос (Attach Request) на получение
доступа к сети, который содержит ряд параметров, включая и IMSI.
2.    Узел обслуживания абонентов SGSN, получив такой запрос, проверяет
наличие аутентифицирующей данного абонента информации в своей базе. Если
такая информация отсутствует, то SGSN посылает запрос в реестр собственных
абонентов     сети     HLR,     который   возвращает     так     называемый
аутентификационный триплет, содержащий:
   • случайное число, используемое в алгоритмах A3 и A8 для выработки
      ключа шифрования и аутентификации абонента;
   • 32-хразрядный ключ аутентификации абонента, который вырабатывается
      на основе индивидуального ключа, хранящегося как на мобильной
      станции, так и в реестре HLR;
   • ключ шифрования данных, получаемый также на базе индивидуального
      ключа абонента.
3.    Полученное случайное число передается на мобильную станцию, которая
на его основе вырабатывает ключ шифрования и ключ аутентификации. Так как
индивидуальные ключи, хранящиеся в реестре собственных абонентов сети
HLR и на мобильной станции, совпадают, то и ключи шифрования и

Страницы